✅ レポートタイトル：TellYouThePass: Ransomware Attacks Exploits Critical PHP RCE Vulnerability

✅ レポート内容：

📌 ランサムウェア「TellYouThePass」（TellYouThePass Ransomware）

2019年3月に初めて登場したランサムウェアグループ「TellYouThePass」は、Windows SMB EternalBlue、Log4jの脆弱性、Confluence Serverの脆弱性、Apache MQの脆弱性など公開されたRCE Exploitを利用して脆弱なサーバーを攻撃します。

-「TellYouThePass」はデータ漏洩サイトを運営しておらず、ランサムノートに書かれたメールでのみ被害企業と交渉し、復号鍵を提供する特徴があります。

- 2024年6月6日にパッチされたPHP RCE脆弱性（CVE-2024–4577）を悪用してランサムウェア「TellYouThePass」を流布した事例が2024年6月8日を起点に多数確認されました。

📌脆弱性（Vulnerability）

「CVE-2024-4577」は、特定のコードページを使用するシステムロケールで設定されたWindows環境でPHP-CGIを使用するときにQuery Stringへの入力検証が不十分であるために発生するRemote Code Executionの脆弱性です。

- 日本語、簡体字中国語、繁体字中国語でシステムロケールが設定されたWindows環境で実行されている8.3.8、8.2.20、および8.1.29より前のすべてのPHPがこの脆弱性の影響を受けます。

- コードページ949（韓国語）などのその他の環境では、%AD文字列による脆弱性は発生しないことが確認されましたが、PHPの使用シナリオが多様であるため、すべてのケースを確認することが難しく、悪用可能性の有無を確信することが困難です。

📌 マルウェア分析（Malware Analysis）

ランサムウェアグループ「TellYouThePass」は、当該脆弱性を悪用して初期侵入を実行すると同時に、攻撃者のサーバーから悪意のあるスクリプトをダウンロードして実行します。

- 悪意のあるスクリプトはランサムウェアローダー「TellYouThePass」をドロップし、そのマルウェアはオープンソースツールBadPotato、EfsPotato、SweetPotato、およびBlindingEDRのソースコードを使用して権限を昇格し、AV / EDR検出を迂回します。

- 最終的にランサムウェア「TellYouThePass」をドロップして実行し、システム内のファイルを暗号化します。

📌 Bitcoin Transaction

「TellYouThePass」のランサムノートに記載されたビットコインウォレットアドレスで合計0.279BTC（約15,990ドル）のランサムマネーが送金された内容が確認され、被害企業が支払ったと推定されます。

-「TellYouThePass」のビットコインウォレットに送金されたランサムマネーは一定の割合で分割され、他のウォレットアドレスに送信された後、取引所「ChangeNOW」に全額送金されます。

🧑‍💻レポート作成者：S2W「TALON」

👉レポートの詳細：https://bit.ly/3ypLKef

※当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。